Wydaje mi się, że jest możliwe podłączenie się do VPN przed właściwym startem systemu (jako zwykły user) choć przyznam, że tego nie robiłem. Nie wiem na jakim rozwiązaniu dokładnie bazujesz ale przykładowo Wireguard VPN uruchomiony jako usługa (o ile wiem) pozwala na podłączenie się do sieci przed właściwym logowaniem się do systemu (tutaj szczegóły).
Pierwszy raz słyszę o czymś takim jak LAPS ale szybki research i jest to coś czego zdecydowanie brakuje u nas na firmie - raczej używamy kont lokalnych które mają to samo standardowe hasło co jest beznadziejne w kwestii bezpieczeństwa. Z drugiej strony implementacja LAPS też niewiele poprawia bo kompromitacja któregoś z kontrolerów domeny jest równoznaczna z poznaniem wszystkich haseł komputerów więc jest to trochę dyskusyjne.
Całkiem świeży opis tego jak to skonfigurować znalazłem tutaj.